CeBIT CARMAO GmbH

Größe: px
Ab Seite anzeigen:

Download "CeBIT 17.03.2015. CARMAO GmbH 2014 1"

Transkript

1 CeBIT CARMAO GmbH

2 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH Vorstand des Kompetenzzentrum für Sicherheit in Bayern (KoSiB) CARMAO GmbH

3 CARMAO GmbH Über CARMAO Beratung, Dienstleistungen und Know-how-Transfer Information Security Information Risk Compliance/Datenschutz Business Continuity / IT-SCM / Notfallmanagement Weitere Informationen auf

4 CARMAO GmbH

5 CARMAO GmbH Motivation Quelle: ICT Kommunikation Quelle: Computerbild

6 CARMAO GmbH Motivation Focus der Softwareentwicklung Funktionalität Kostenoptimierung Herausforderung Sicherheitslücken werden oft erst im Einsatz erkannt Kritische Sicherheitslücken müssen immer sehr schnell und unter Zeitdruck behoben werden Nachträgliche Korrekturen kosten in aller Regel sehr viel Geld Fazit: Sicherheitsanforderungen müssen wie funktionale Anforderungen von Beginn an berücksichtigt und im gesamten Application Lifecycle systematisch gemanaged werden

7 CARMAO GmbH Prozesse/Frameworks Bisherige Ansätze Microsoft SDL Common Criteria Open Software Assurance Maturity Model (SAMM) OWASP Software Security Assurance Process OWASP CLASP Software Security Framework Team Software Process for Secure Software Development Security by Design with CMMI for Development Zum Teil deckungsgleich

8 CARMAO GmbH Beispiel SDL von Microsoft 7 Phasen Softwarelifecyclephasen 17 Practices Konkrete Sicherheits-Aktivitäten Verteilt auf den gesamten Lifecycle

9 CARMAO GmbH Benefit Nachhaltigkeit Kostenersparnis Schwachstellen in frühen Entwicklungsphasen leicht zu korrigieren Kosten steigen exponentiell Extremfall: Schwachstelle in fertigem Produkt (leider keine Ausnahme) Vertragsstrafen, Regulatorische Strafen Reputation Reputationsschaden durch ausgenutzte Schwachstellen Siemens mit Stuxnet OpenSSL mit Heartbleed Mit gutem Beispiel vorangehen lohnt sich!

10 CARMAO GmbH Application Security Management ISMS (ISO 27001) Application Security Management (ISO 27034) (Technische) Maßnahmen Security Requirements Engineering Design Review Code Review System Test

11 ISO CARMAO GmbH

12 CARMAO GmbH Application Security Application security is a process performed to apply controls and measurements to an organization s applications in order to manage the risk of using them. Anforderungen und Maßnahmen betreffen den gesamten Application Lifecycle Software Daten Technologie Prozesse Rollen

13 CARMAO GmbH ISO Teile Veröffentlicht: Part 1: Overview and concepts In der Entwicklung Part 2: Organization normative framework Part 3: Application Security Management Process Part 4: Application Security Validation Part 5: Protocols and application security control data structure Geplant: Part 6: Security guidance for specific applications

14 CARMAO GmbH Organization Normative Framework (ONF) Quelle: ISO 27034

15 CARMAO GmbH Organization ASC Library Quelle: ISO 27034

16 CARMAO GmbH Application Security Control (ASC) Analog zu Controls nach ISO Bestandteile Security Activity Verification Measurement ASC Generierung Analyse vorhandener Applikationen Risikoanalyse Sicherheitsanforderungen Ableitung aus Normen/Best Practices (ISO 15408, SAMM, ) ASC Bibliotheken https://www.owasp.org/index.php/owasp_iso_iec_27034_application_security_controls_proj ect Beispiel ASC: Security Activity: Durchführen eines Design Reviews Verification Measurement: Prüfung des Reviews durch Audit

17 CARMAO GmbH Application Security Life Cycle Reference Model Quelle: ISO 27034

18 CARMAO GmbH ISO im Projekt Quelle: ISO 27034

19 CARMAO GmbH Application Normative Framework (ANF) Quelle: ISO 27034

20 CARMAO GmbH Application Security Management Process (ASMP) Quelle: ISO 27034

21 CARMAO GmbH Pragmatisches Vorgehen 1. Konkretes Applikations- Projekt 2. Application Risk Assessment 5. ONF erweitern 3. ASCs festlegen 4. ANF definieren

22 CARMAO GmbH Ausblick ISO Sehr gute Integration in das ISMS nach ISO Beschreibt ein Managementsystem zur Identifikation und Umsetzung von Application Security Controls Integriert existierende und bewährte Methoden zum Application Security wie Threat Modeling, Secure Code Analyse und Application Penetration Testing ASC-Kataloge in Vorbereitung (z.b. durch OWASP)

23 CARMAO GmbH Rathausstraße Brechen Fon Fax Ihre ERFOLGE verdienen Achtung, Ihre WERTE verlangen Schutz!

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg 09.03.2017 Wer wir sind Beratung und Dienstleistung für anspruchsvolle Anforderungen

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

ALM Days 2012. Normenkonforme Software-Entwicklung für Medizinprodukte mit dem Microsoft Team Foundation Server

ALM Days 2012. Normenkonforme Software-Entwicklung für Medizinprodukte mit dem Microsoft Team Foundation Server ALM Days 2012 ALM Days 2012 Normenkonforme Software-Entwicklung für Medizinprodukte mit dem Microsoft Team Foundation Server Dipl.- Ing. Birgit Stehlik, Dipl.-Ing. Sven Wittorf, M.Sc. 1 Medizinische Software

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Fred Stay 2013-06-04/05. Management der Funktionalen Sicherheit KROHNE Academy Automatisierungstechnik in der Prozessindustrie

Fred Stay 2013-06-04/05. Management der Funktionalen Sicherheit KROHNE Academy Automatisierungstechnik in der Prozessindustrie Fred Stay 2013-06-04/05 Management der Funktionalen Sicherheit KROHNE Academy Automatisierungstechnik in der Prozessindustrie 1. Warum brauchen wir ein FSM 2. Vermeidung/Beherrschung von Fehlern 3. Praxisbeispiel:

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg

Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Herzlich willkommen Agile Software-Entwicklung im Kontext der EN50128 Wege zum Erfolg Heike Bickert Software-/Systemingenieurin, Bereich Quality Management Braunschweig // 17.11.2015 1 Agenda ICS AG Fragestellungen

Mehr

Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen

Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen Prof (FH) Dr. Ingrid Schaumüller Bichl FH OÖ, Fakultät für Informatik, Kommunikation und Medien, Hagenberg Folie 1 Agenda 1

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Entwicklung Safety-relevanter Steuergeräte auf Basis des V-Modells

Entwicklung Safety-relevanter Steuergeräte auf Basis des V-Modells AUTOMOTIVE INFOKOM MOBILITÄT, ENERGIE & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT Entwicklung Safety-relevanter Steuergeräte auf Basis des V-Modells Stephen Norton VMEA 12.11.2015 CoC SAFETY

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was

Mehr

ISO SPICE Erste Eindrücke

ISO SPICE Erste Eindrücke ISO 15504 SPICE Erste Eindrücke Klaus Franz Muth Partners GmbH, Wiesbaden 06122 5981-0 www.muthpartners.de klaus.franz@muthpartners.de SPiCE ISO 15504 1 Stand der Dinge 29. Januar 2005 ISO/IEC 15504 PUBLICATION

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch?

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Safety Competence Center Vienna Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Pierre Metz, Gabriele Schedl copyright SYNSPACE, SCC fh campus wien All rights reserved Problemfelder Produktsicherheit

Mehr

Medical SPICE. Was bringt die neue VDI-Richtlinie 5702? Matthias Hölzer-Klüpfel

Medical SPICE. Was bringt die neue VDI-Richtlinie 5702? Matthias Hölzer-Klüpfel Medical SPICE Was bringt die neue VDI-Richtlinie 5702? Matthias Hölzer-Klüpfel VDI Fachausschuss Wann ist Software ein Medizinprodukt? Software-Qualität in der Medizintechnik VDI: Fachbereich Medizintechnik

Mehr

Software Assessments verhelfen zur effektiven Prozessverbesserung

Software Assessments verhelfen zur effektiven Prozessverbesserung Assessments verhelfen zur effektiven Prozessverbesserung Ein Erfahrungsbericht Dr. Gunter Hirche Gründe für ein Assessment Anforderungen: Probleme bei der Abwicklung von Projekten mit SW-Anteilen Termine,

Mehr

SPiCE und Test: Was hat das denn miteinander zu tun?

SPiCE und Test: Was hat das denn miteinander zu tun? SPiCE und Test: Was hat das denn miteinander zu tun? TAV Düsseldorf 15./16.2.2007 Arbeitskreis Test eingebetteter Systeme Dr. Uwe Hehn Uwe.Hehn@methodpark.de Gliederung Reifegradmodelle Übersicht über

Mehr

Was ist bei der Entwicklung sicherer Apps zu beachten?

Was ist bei der Entwicklung sicherer Apps zu beachten? Was ist bei der Entwicklung sicherer Apps zu beachten? Ein Leitfaden zur sicheren App 1 Über mich Consultant für Information Security Studium der Wirtschaftsinformatik an der Hochschule München Entwicklung

Mehr

CMMI, BOOTSTRAP, SPICE, AutomotiveSPICE... was wollen die wirklich? - Werkzeuge richtig eingesetzt! Bernd.Hindel@methodpark.de

CMMI, BOOTSTRAP, SPICE, AutomotiveSPICE... was wollen die wirklich? - Werkzeuge richtig eingesetzt! Bernd.Hindel@methodpark.de CMMI, BOOTSTRAP, SPICE, AutomotiveSPICE... was wollen die wirklich? - Werkzeuge richtig eingesetzt! Bernd.Hindel@methodpark.de Agenda Ausgangssituation und Problem Nachweis der Lernenden Organisation Ausblick

Mehr

Data Processing, On-Board Software & Dependability (ASG72, ASG73)

Data Processing, On-Board Software & Dependability (ASG72, ASG73) Data Processing, On-Board Software & Dependability (ASG72, ASG73) Aktuelle Aktivitäten und Möglichkeiten der Zusammenarbeit Name: Norbert Binzer, Abt. ASG72 DLR - Raumfahrt-Industrietage in Friedrichshafen

Mehr

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master,

TFS Customzing. in der Praxis. Thomas Gugler. seit 2005 bei ANECON. .NET seit 2002 (happy bday!) Schwerpunkte: MCPD.Net 4.0, MCTS TFS, Scrum Master, TFS Customzing in der Praxis Thomas Gugler ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com Thomas Gugler seit 2005 bei

Mehr

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008 Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE Heinrich Dreier Elmshorn 17.04.2008 Einleitung Softwareprozesse verbessern Einleitung Softwareprozesse verbessern SPI Software

Mehr

Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering,

Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering, Funktionale Sicherheit ISO 26262 Schwerpunkt Requirements Engineering, Manfred Broy Lehrstuhl für Software & Systems Engineering Technische Universität München Institut für Informatik ISO 26262 Functional

Mehr

How to Survive an Audit with Real-Time Traceability and Gap Analysis. Martin Kochloefl, Software Solutions Consultant Seapine Software

How to Survive an Audit with Real-Time Traceability and Gap Analysis. Martin Kochloefl, Software Solutions Consultant Seapine Software How to Survive an Audit with Real-Time Traceability and Gap Analysis Martin Kochloefl, Software Solutions Consultant Seapine Software Agenda Was ist Traceability? Wo wird Traceability verwendet? Warum

Mehr

ABSICHERUNG MODELLBASIERTER SICHERHEITSKRITISCHER AVIONIK SOFTWARE Dr. Elke Salecker

ABSICHERUNG MODELLBASIERTER SICHERHEITSKRITISCHER AVIONIK SOFTWARE Dr. Elke Salecker ABSICHERUNG MODELLBASIERTER SICHERHEITSKRITISCHER AVIONIK SOFTWARE Dr. Elke Salecker MOTIVATION Fahrzeug-Software wird modellbasiert mit Simulink/TargetLink entwickelt & DO331/DO-178C ermöglicht modellbasierte

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Safer Software Formale Methoden für ISO26262

Safer Software Formale Methoden für ISO26262 Safer Software Formale Methoden für ISO26262 Dr. Stefan Gulan COC Systems Engineering Functional Safety Entwicklung Was Wie Wie genau Anforderungen Design Produkt Seite 3 Entwicklung nach ISO26262 Funktionale

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

TOGAF The Open Group Architecture Framework

TOGAF The Open Group Architecture Framework TOGAF The Open Group Architecture Ein Überblick Gesellschaft für Informatik, Regionalgruppe München Dr. Michael Bulenda München, 7.12.2009 Vorstellung Dr. M. Bulenda Seit 2001 bei Cirquent IT Management

Mehr

on Software Development Design

on Software Development Design Werner Mellis A Systematic on Software Development Design Folie 1 von 22 How to describe software development? dimensions of software development organizational division of labor coordination process formalization

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Phasen. Gliederung. Rational Unified Process

Phasen. Gliederung. Rational Unified Process Rational Unified Process Version 4.0 Version 4.1 Version 5.1 Version 5.5 Version 2000 Version 2001 1996 1997 1998 1999 2000 2001 Rational Approach Objectory Process OMT Booch SQA Test Process Requirements

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung

Gliederung. Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 1 Gliederung Einführung Phasen Ten Essentials Werkzeugunterstützung Aktivitäten, Rollen, Artefakte Werkzeug zur patternorientierten Softwareentwicklung Peter Forbrig RUP 2 Rational Unified

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Vertrauenswürdigkeit von Software. Sandro Hartenstein FH Brandenburg

Vertrauenswürdigkeit von Software. Sandro Hartenstein FH Brandenburg Vertrauenswürdigkeit von Software FH Brandenburg Agenda Vorstellung OPTET Vertrauenswürdige Software Ermittlung von Attributen Messen der Vertrauenswürdigkeit Prototyp Ausblick 20.05.2014 2 OPTET FP7 EU-Projekt

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

ITIL meets CMMI: Optimierung der IT-Prozesse durch das Zusammenspiel von ITIL und CMMI SQM 2006

ITIL meets CMMI: Optimierung der IT-Prozesse durch das Zusammenspiel von ITIL und CMMI SQM 2006 ITIL meets CMMI: Optimierung der IT-Prozesse durch das Zusammenspiel von ITIL und CMMI SQM 2006 Dr. Ralf Kneuper Dr. Ralf Kneuper Beratung Jan Stender ITIL Berater Überblick Motivation Überblick CMMI Überblick

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen

Mehr

IV Software-Qualitätssicherung

IV Software-Qualitätssicherung Softwaretechnik- Praktikum: 12. Vorlesung Jun.-Prof Prof.. Dr. Holger Giese Raum E 3.165 Tel. 60-3321 Email: hg@upb.de Übersicht I II III IV V Einleitung Ergänzungen zur Software-Entwicklung Software Management

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ISO 9001 und CMM im Vergleich

ISO 9001 und CMM im Vergleich ISO 9001 und CMM im Vergleich internationale Norm ISO 9001 umfasst 20 Forderungen/ Klauseln 1 Vorbereitung Audit Wie wird zertifiziert Wie erfolgt Dokumentation? Handbuch (QMH) Verfahrensanweisungen (QMV)

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

Integrated result data management in the development process of vehicle systems based on the ASAM ODS standard

Integrated result data management in the development process of vehicle systems based on the ASAM ODS standard Integrated result data management in the development process of vehicle systems based on the ASAM ODS standard Dipl.-Ing. (FH) Stefan Geneder, Technische Hochschule Ingolstadt Dr. Felix Pfister, AVL List,

Mehr

Das generierte Data Warehouse

Das generierte Data Warehouse Das generierte Data Warehouse DOAG BI Konferenz 2012 Gregor Zeiler BASEL BERN LAUSANNE ZÜRICH DÜSSELDORF FRANKFURT A.M. FREIBURG I.BR. HAMBURG MÜNCHEN STUTTGART WIEN 1 Erwartungshaltungen und Hoffnungen

Mehr

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63 ... Geleitwort... 15... Vorwort... 17... Einführung... 23 1... Was ist Run SAP?... 25 1.1... Motivation der Run SAP-Methodik... 27 1.2... Roadmap... 29 1.3... Run SAP-Phasen... 32 1.3.1... Assessment &

Mehr

ITIL V3 2011 Was ist neu. Dr. Helmut Steigele

ITIL V3 2011 Was ist neu. Dr. Helmut Steigele ITIL V3 2011 Was ist neu Dr. Helmut Steigele Es ist eine Neu-Auflage Es ist ein Refresh Nicht 4.0; nicht 3.1; aber 2011 Seit 29. Juli 2011 Eingeführt per Ende August Das betrifft auch die Pocket Guides

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld

Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld Lebendige Sicherheit: Entwicklung von Secure Software im dynamischen Umfeld Prof. Dr. Ruth Breu Quality Engineering Laura Bassi LaB Institut für Informatik Universität Innsbruck Quality Engineering Projekte

Mehr

Medical SPICE Von der Regulierung zur Praxis

Medical SPICE Von der Regulierung zur Praxis Medical SPICE Von der Regulierung zur Praxis Thomas Wunderlich, Manager, Vector Consulting Services GmbH Markus Manleitner, SW Quality Assurance Officer, Dräger medical GmbH MedConf 2013, 17.10.2013 2013.

Mehr

CMM Mythos und Realität. Forum Forschungsförderung BITKOM / ViSEK 2003 17. Oktober 2003. Tilman Seifert, TU München

CMM Mythos und Realität. Forum Forschungsförderung BITKOM / ViSEK 2003 17. Oktober 2003. Tilman Seifert, TU München CMM Mythos und Realität Forum Forschungsförderung BITKOM / ViSEK 2003 17. Oktober 2003, TU München Agenda Das CMM Ziele und Aufbau Prozessverbesserung nach CMM Bewertung des CMM Mythen Thesen Kritik Zusammenfassung

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

PM & IT Business Consulting mit IS4IT FÜR SIE.

PM & IT Business Consulting mit IS4IT FÜR SIE. PM & IT Business Consulting mit IS4IT FÜR SIE. Business Consulting IT Architektur IT Projektmanagement IT Service- & Qualitätsmanagement IT Security- & Risikomanagement Strategie & Planung Business Analyse

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Implementierung von IEC 61508

Implementierung von IEC 61508 Implementierung von IEC 61508 1 Qualität & Informatik -www.itq.ch Ziele Verständnis für eine mögliche Vorgehensweise mit IEC 61508 schaffen Bewusstes Erkennen und Behandeln bon Opportunitäten unmittelbaren

Mehr

Comparing Software Factories and Software Product Lines

Comparing Software Factories and Software Product Lines Comparing Software Factories and Software Product Lines Martin Kleine kleine.martin@gmx.de Betreuer: Andreas Wuebbeke Agenda Motivation Zentrale Konzepte Software Produktlinien Software Factories Vergleich

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

TFS als ALM Software. Erfahrungsbericht aus der MedTec Ecke. Lukas Müller

TFS als ALM Software. Erfahrungsbericht aus der MedTec Ecke. Lukas Müller TFS als ALM Software Erfahrungsbericht aus der MedTec Ecke Lukas Müller Agenda Tecan Umfeld und Prozesse Einsatzgebiet TFS Tecan Erweiterungen von TFS Erfahrungsaustausch Head Office in der Schweiz, >1100

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define metrics Pre-review Review yes Release

Mehr

Product Lifecycle Manager

Product Lifecycle Manager Product Lifecycle Manager ATLAS9000 GmbH Landauer Str. - 1 D-68766 Hockenheim +49(0)6205 / 202730 Product Lifecycle Management ATLAS PLM is powerful, economical and based on standard technologies. Directory

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie

Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Entwicklungsoptimierung mit einem ALM Tool Positionierung mit Fallstudie Gerald Heller Agenda Standortbestimmung ALM Typischer industrieller Setup und Probleme Vorstellung von QualityCenter als ALM tool

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung

IT-Beratung: Vom Geschäftsprozess zur IT-Lösung Ralf Heib Senior Vice-President Geschäftsleitung DACH IT-Beratung: Vom Geschäftsprozess zur IT-Lösung www.ids-scheer.com Wofür steht IDS Scheer? Wir machen unsere Kunden in ihrem Geschäft erfolgreicher.

Mehr

Nachhaltiges Compliance Management in Kombination mit ERM und IKS

Nachhaltiges Compliance Management in Kombination mit ERM und IKS Haftungsrisiken Unternehmensleitung! Nachhaltiges Compliance Management in Kombination mit ERM und IKS 2015 avedos business solutions gmbh Seite 1 Unsere Leidenschaft ist GRC Innovativ seit 2005 100% Fokus

Mehr

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG

Beratung. Security by Design. Lösungen PETER REINECKE & THOMAS NEYE. Services. operational services GmbH & Co. KG Beratung Lösungen Services Security by Design PETER REINECKE & THOMAS NEYE 1 Agenda 1 2 Was ist Security by Design? Einführung Aktuelle Situation Software Development Lifecycle (SDL) Immer wieder Software

Mehr

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010

Der Application Security Verification Standard (ASVS) OWASP 10/2010. The OWASP Foundation http://www.owasp.org. AppSec Germany 2010 Der Application Security Verification Standard (ASVS) 10/2010 Matthias Rohr SEC Consult Deutschland Senior Security Consultant m.rohr@sec-consult.com Copyright The Foundation Permission is granted to copy,

Mehr

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10.

Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen. Udo H. Kalinna. Nürnberg, den 10.10. Herzlich willkommen zur Kurzvorlesung: Die häufigsten Fehlerquellen bei der Erstellung von Webapplikationen Udo H. Kalinna Nürnberg, den 10.10.2013 AGENDA Kein Tag ohne Hack! Sind diese Schwachstellen

Mehr

Wie agil kann Business Analyse sein?

Wie agil kann Business Analyse sein? Wie agil kann Business Analyse sein? Chapter Meeting Michael Leber 2012-01-24 ANECON Software Design und Beratung G.m.b.H. Alser Str. 4/Hof 1 A-1090 Wien Tel.: +43 1 409 58 90 www.anecon.com office@anecon.com

Mehr

conuno - WIR GESTALTEN FÜR SIE Development Services

conuno - WIR GESTALTEN FÜR SIE Development Services conuno - WIR GESTALTEN FÜR SIE Development Services Beratung für Finanzdienstleister Innovative Produktlösungen IT Services & Sourcing c o n s u l t i n g g e s t a l t e n s o f t w a r e g e s t a l

Mehr

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?! Oliver Steinhauer Sascha Köhler.mobile PROFI Mobile Business Agenda MACHEN SIE IHRE ANWENDUNGEN MOBIL?! HERAUSFORDERUNG Prozesse und Anwendungen A B

Mehr

Neue Funktionen in Innovator 11 R5

Neue Funktionen in Innovator 11 R5 Neue Funktionen in Innovator 11 R5 Innovator for Enterprise Architects, Java Harvester und Prüfassistent 12.11.2013 Agenda 1 2 3 Einführung Was ist neu in Innovator 11 R5? Szenario Enterprise Architektur

Mehr

Maturity Assesment for Processes in IT

Maturity Assesment for Processes in IT Maturity Assesment for Processes in IT Was ist MAPIT? Maturity Assessment for Processes in IT Werkzeug zur Reifegradbestimmung von IT Service Management Prozessen hinsichtlich ihrer Performance und Qualität

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

CMMI for Embedded Systems Development

CMMI for Embedded Systems Development CMMI for Embedded Systems Development O.Univ.-Prof. Dipl.-Ing. Dr. Wolfgang Pree Software Engineering Gruppe Leiter des Fachbereichs Informatik cs.uni-salzburg.at Inhalt Projekt-Kontext CMMI FIT-IT-Projekt

Mehr

GAMP5. Grundzüge und Änderungen zu GAMP4. Siemens-Pharma-Forum, 17.04.2008, Muttenz, Schweiz

GAMP5. Grundzüge und Änderungen zu GAMP4. Siemens-Pharma-Forum, 17.04.2008, Muttenz, Schweiz Siemens-Pharma-Forum, 17.04.2008, Muttenz, Schweiz GAMP5 Grundzüge und Änderungen zu GAMP4 Hartmut Hensel Hochschule Harz Wernigerode +49 3943 659 313 hhensel@hs-harz.de 1 Inhalt der Präsentation GAMP5

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006

Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006 Die Integration von Requirements Management, Software Configuration Management und Change Management mit der MKS Integrity Suite 2006 Oliver Böhm MKS GmbH Agenda Überblick Der Entwicklungsprozess: Requirements

Mehr

TAV Arbeitskreis Testmanagement. Einführung von Testprozessen. Bedeutung von Reifegradmodellen für das Testmanagement

TAV Arbeitskreis Testmanagement. Einführung von Testprozessen. Bedeutung von Reifegradmodellen für das Testmanagement TAV Arbeitskreis Testmanagement Einführung von Testprozessen Bedeutung von Reifegradmodellen für das Testmanagement Zur Diskussion im Arbeitskreis Testmanagement auf der TAV 25 am 15./16.02.2007 Vorbereitet

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Digitalisierung als Chance: Digitale Potentiale erkennen und mit BPM unterstützen. Dr. Andreas Kronz, Leiter Professional Services, Scheer GmbH

Digitalisierung als Chance: Digitale Potentiale erkennen und mit BPM unterstützen. Dr. Andreas Kronz, Leiter Professional Services, Scheer GmbH Digitalisierung als Chance: Digitale Potentiale erkennen und mit BPM unterstützen Dr. Andreas Kronz, Leiter Professional Services, Scheer GmbH Digitize Your Business Die Digitale Transformation stellt

Mehr

Anforderungen, KEFs und Nutzen der Software- Prozessverbesserung

Anforderungen, KEFs und Nutzen der Software- Prozessverbesserung Process flow Remarks Role Documents, data, tool input, output Important: Involve as many PZU as possible PZO Start Use appropriate templates for the process documentation Define purpose and scope Define

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

GAUSS towards a common certification process for GNSS applications using the European Satellite System Galileo

GAUSS towards a common certification process for GNSS applications using the European Satellite System Galileo GAUSS towards a common certification process for GNSS applications using the European Satellite System Galileo Matthias Grimm, Dr. Michael Meyer zu Hörste Vortragstitel > 11. Juni 2010 > Folie 1 Agenda

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr